Если запустился в безопасном режиме с командной строкой - уже хорошо. Теперь можно запустить regedit и пройтись по тем ключам реестра, которые указаны.Цитата:
Сообщение от Любитель
Вид для печати
Если запустился в безопасном режиме с командной строкой - уже хорошо. Теперь можно запустить regedit и пройтись по тем ключам реестра, которые указаны.Цитата:
Сообщение от Любитель
Недавно тоже поймал порнобаннер (pornhub.com). Мучился, искал, как избавиться. Кто-то присоветовал зажать комбинацию ctrl-alt-shift-J или I. Ничего не вышло. Зажал ctrl-alt-shift и начал тыкать подряд по всем клавишам. На "А" отключилось и больше не появляется.
Тоже словил какой-то. Закрывает полностью рабочий стол, "три клавиши" не помогают - потому что список задач открывается под этой гадостью.
Начал шарить в реестре, потом в темповых папках со страху (в безопасном режиме). В итоге грохнул ASPI-драйвер. Заодно опытным путем выяснил, что на ASUS Eee 1000H при сломанном ASPI восстановить систему нельзя никак, кроме как с образа диска. Тот, что в комплекте (вроде как восстановительный) - не вариант. При этом информация с жесткого, естественно, убивается. Хорошо еще под безопасным удалось подцепить выносной жесткий и скопировать все, что было дорого, как память. )) Бяку пропустил AVIRA, к сожалению.
лучшее средство имхо - http://www.freedrweb.com/livecd/
Накатываете образ на болванку (на работоспособном компьютере :)) , загружаетесь с нее , ждете появления графической оболочки , выбираете в опциях Advanced search и спокойно уходите на полдня ;) , поскольку работает крайне скрупулезно - на моей памяти помогает всегда ,исключений не было. Поскольку загружается линукс , то вредные штуки , которые даже в безопасном режиме в виндовс работают , тут уже не активны. И данные спасти всегда можно .
А чтобы всяческие вредные скрипты не запускались , лучше использовать Firefox с аддином AdblockPlus - блокирует опять же все по умолчанию , потом можно по частям разрешать.
К слову: в свое время качали LiveCD От Каспера, закатали на болванку, он не запустился вообще - после частичной загрузки на что-то ругнулся (не Каспер, система), с Вебом чуть по-другому: качали, запускали, работал. Но когда я его запустил на одном из компов, то же самое практически - на загрузке оболочки в определенный момент ругается и дальше не грузит. Там есть вариант из командной строки, только я так и не понял, насколько он адекватно работает. Я к тому, что они оба, похоже, даже если сами и работают, то их юниксо-линуксовые ядра запускаются по настроению.
Все коды разблокировки появились в обед сегодня на анлокере докторвебском. У нас 4 машины подхватили, где с админскими правами работают. Вирус просил 495хххххх на телефон 8353. Разблокируется и сам удаляется, надо только в реестре HKLM/software/microsoft/windowsNT/cuurentversion/ удалить раздел winlogon. Тот, который с маленькой. С большой - это правильный, его не надо. Сам находится в Program Files/common files/microsoft shared/mssoft.exe
http://www.drweb.com/unlocker/index анлокер
http://forum.drweb.com/index.php?showtopic=293738&st=0 - форум с описанием
Да , там оставлена возможность запустить в текстовом режиме . Работает адекватно , все , что надо -вычищает (включая реестр итп) . По крайней мере , была пара случаев , когда уже ничто не помогало (с Confickerom) - а drweb live cd хоть и долго , но все сделал.Цитата:
Сообщение от Harh
у антивирусов вообще не очень получается обнаруживать эти блокеры по сигнатуре. с блокерами лучше работает эвристика, а ее обычно оставляют включенной по-умолчанию на низком или среднем уровне обнаружения. к тому же, возможно, что в бесплатной авире и механизмы обнаружения не самые-самые, да и контроля приложений нет. или речь о полной платной версии?Цитата:
Сообщение от NuFunnya
в любом случае, при скачивании и запуске исполняемых файлов из интернета (под видом инсталляшки флеш-плеера например)или подтверждении на запуск надстроек в осле, нужно быть внимательными и не жать сразу "да" в ответ на все предупреждения. подозрительная активность программы детектируется неплохо как антивирусами, так и встроенной системой безопасности винды (UAC в висте, семерке).
Та так в итоге и поступили.Цитата:
Сообщение от barsuk
В winlogon была какая-то бяка mssoft.exe, хотя в указанном пути такого файла не было, но после отключения заработало. правда там по пути еще несколько шаманств осуществили.
в общем, вроде работает:yez:
---------- Добавлено в 07:20 ---------- Предыдущее сообщение было написано в 07:11 ----------
пробовал не сработало, то есть какие-то вирусы "обкурившимся" найдены были и удалены, и даже названия их файлов содержали SMS*, но после перезагрузки порно осталось.:ups:Цитата:
Сообщение от harinalex
после удаления MSSOFT.exe в WINLOGON
при перезагрузке ругнулась на отсутствие какого-то приложения, но вроде работает.
К стати почему-то там два винлогона один полный чего-то, а другой только SHELL содержит, может грохнуть его?
Нет, бесплатная. Но эвристику я обычно включаю в "параноидальный" режим. )) Пусть лучше поорет, но спокойнее.Цитата:
или речь о полной платной версии?
В том и дело, что ничего не устанавливал и ни на что не соглашался. Пролез как-то через браузер. На chrome работал.Цитата:
в любом случае, при скачивании и запуске исполняемых файлов из интернета (под видом инсталляшки флеш-плеера например)или подтверждении на запуск надстроек в осле, нужно быть внимательными и не жать сразу "да" в ответ на все предупреждения.
Спасибо за совет, сделаю прозапас ))Цитата:
Кстати, на второй машине с DrWeb (который Desk - через провайдера по подписке) ничего не пролезало. Правда и не детектилось тоже. Может, боятся и обходят? )))
Хорошее вспомогательное средство для последующей вычистки вручную :
http://www.computerra.ru/terralab/softerra/544885/
ну и Касперский тоже
http://support.kaspersky.ru/viruses/deblocker
кстати , и бесплатная утилита http://support.kaspersky.ru/viruses/avptool2010 тоже эффективна.
Если имя того логона с шеллом начинается с маленькой буквы "w" (winlogon), то грохнуть однозначно. :aga:Цитата:
Сообщение от Любитель
Всем спасибо. Особенно Филипку и Барсуку. :bravo::bravo::bravo:Цитата:
Сообщение от barsuk
Пока работает:yez::yez::yez::yez:
И вот еще к вопросу о подборах кода:
http://esetnod32.ru/.support/winlock/
на сайте мегафона есть список телефонов коротких и фирм которые их обслуживают
самый простой и легкий способ это позвонить туда и поругаться
дадут код. и всё ))
Блин, кроме всего прочего, это вообще-то ещё и вымогательство и как бы номер адресата известен. Почему отделу Р или К(?) нет до сих пор, до этого дела, непонятно. Башку ломать за это надо.
Да там наверняка с доказательной базой все плохо. Депупатам же недосуг законы новые принимать.Цитата:
Сообщение от Wotan
Наверняка, чтобы прикрыть подобную фирмочку, звонка достаточно, в тот же мтс, из того же отдела к.Цитата:
Сообщение от Biotech
Отстегивают.
Как раз с доказательно базой- все настолько прозрачно. Мечта прокурора.
Я слышал, что как раз какой-то депутат поднимал этот вопрос, было только это давненько.Цитата:
Сообщение от Biotech
А так бы, да, отловить, вывести на площадь, с табличкой их же порнобанера на шее, и вбить им дюбеля в голову. Реально достали. У меня друзья кучу раз ловили, я всё думал, где поймать умудряются, потом сам ловил, причём на книжных сайтах, причём на известных. Ладно второй комп дома есть, у сына.
действительно "SMS-лото (ЗАО Первый Альтернативный)Цитата:
Сообщение от killon
8353" у них на сайте "К сожалению, сервисные номера, принадлежащие нашей Компании, также используются мошенниками для совершения противоправных действий. Мы предпринимаем максимум усилий и времени для устранения подобных правонарушений. "
То есть они считают не несут ответственности.
они что не знают, кто у них номер арендует?:aggresive::aggresive::aggresive:
там не в этом дело
там дело в том что они изначально номер дают, а потом то он ходит. И они этот поход то остановить не могут, зато могут давать номера активации ))
я сис админ. я уже раз 7 подобными разговорами со службой претензий клиентов занимался, 2 из которых были на повышенных тонах. Но номер активации всегда дают
вот тебе сервис по борьбе с ними тел 8-800-100-73-3семь позвонишь и скажешь ,схватил порнобанер тебе помогут, скажут ключ.
Меня другое удивляет.
Все эти баннеры написаны донельзя тупо.
Как будто студент писал, или дитя малое.
Так, накорябано левой ногой, лишь бы работало...
Вот выйду я на пенсию, мне делать будет нечего, я им напишу, блин.
Я им такое напишу, что им всем вздрогнется.
Казалось бы: ну чего тут сложного - на буте вывесить через шелл два одинаковых атома в памяти (пускай стартуют как часть winlogon, приаттаченной dll-кой со случайным именем по маске типа mslogonXXX.dll), и пускай по флагу раз в миллисекунду передают другу другу фокус на баннер (размер которого можно взять из реестра, равным рабочему разрешению экрана, чтобы и кнопки "пуск" не было), и всё.
Даже если доберёшься до процессов в памяти, то один атом снимешь - второй сразу увидит, что флаг обнулился и запустит свою копию, их опять станет два.
И привет, дружище, хрен его убьёшь обычными методами, только переустановкой винды, либо заменой всей секции winlogon и explorer.exe вместе с екзешниками.
Кстати, и этот вариант тоже можно обработать...
А лучше - даже три атома! Чтобы третий запускался периодически (скажем, раз в десять дней) и просто посматривал на этих двоих деятелей, и в случае если сняты оба - в фоновом режиме шифровал через тупой XOR нахрен все доки, картинки и музыку юзера, а потом снова вывешивал в память этих обоих, через денёк.
Эхххххх какая бы получилась замечательная гадость! Неистребимая. =)
Злобная, но симпатишная. =)
Ладно, хрен с ним. Хорошо что у меня времени нет фигнёй страдать, а то бы посоревновались, чья гадость гадостнее.
Ну их нафиг, тупость, скушно девоньки.
Где-то я уже это читал :mdaa:Цитата:
Сообщение от FilippOk
Блин, накаркаешь. Начитается какой-нибудь "аццкий хацкер" твоих сообщений, да и решит осуществить.